Adatbázisok védelme

Az internet és az internet alapú alkalmazások dinamikus terjedésével a vállalatok egyre hatékonyabban használhatják az információkat azáltal, hogy vevőik, ügyfeleik, alkalmazottaik és partnereik számára lehetővé teszik a számukra szükséges adatokhoz való hozzáférést. Az elérési lehetőségek bővülésével azonban megnövekedhet az illegális adatszerzés lehetősége és a betörési kísérletek száma is.

–
2002. 04. 28. 23:00
VéleményhírlevélJobban mondva - heti véleményhírlevél - ahol a hét kiemelt témáihoz fűzött személyes gondolatok összeérnek, részletek itt.

Az informatika fejlődésével az adatok nem csak a jogos felhasználók számára válnak egyre értékesebbé, hanem a konkurencia, a hackerek és más illegális behatolók számára is. Az Oracle elkötelezte magát az internet alapú vállalati informatikai rendszerek fejlesztése mellett, ami a vállalat számára egyben azt is jelentette, hogy megbízható biztonsági megoldásokat is kell nyújtani az adatvédelem érdekében.
A biztonsági szolgáltatásokat nyújtó amerikai Riptech cég új alapokra helyezett felmérést tett közzé a közelmúltban, amelyet egységes szemlélet, regisztrálási és elemzési módszer alapján készített. A vállalat huszonöt országban háromszáz ügyfelénél vizsgálta és elemezte a támadásokat 2001 második felében. A felmérés eredménye azt jelzi, hogy a külső feltörési kísérletek az eddigi legbátrabb feltételezésekhez képest jóval nagyobb mértékben fenyegetik a vállalatokat. Hat hónap alatt a vizsgált cégeknél átlagosan hetvenkilenc százalékkal növekedett ezek száma.
Azon túl, hogy a támadások intenzitása milyen ütemben növekszik, a kutatás további megfontolandó pontokra mutatott rá.
Bár a támadásoknak csak egy százaléka eredményezett komoly és azonnali veszélyt, a betörési kísérletek nagy száma miatt ez így is közel ezer esetet jelentett. A vizsgált hat hónap alatt a vállalatok negyvenhárom százalékánál történt olyan feltörési kísérlet, amely eredményes lett volna, ha nem történik megfelelő beavatkozás. A támadások harminckilenc százaléka konkrét vállalatok ellen irányuló, szándékos kísérletnek minősült, és csak hatvanegy százalék keresett konkrét cél nélkül valamilyen támadható pontot. Az ezernél több alkalmazottat foglalkoztató cégeket érte a támadások negyvenkét százaléka, az ötszáz főnél többet foglalkoztatókat pedig kétszer annyi támadás érte, mint az ennél kisebb cégeket. A high tech iparban, a pénzügyi szolgáltatások terén, a média és szórakoztató iparban, valamint az energia- és villamos iparban működő cégek elleni betörési kísérletek száma kiemelkedő, napi átlaga elérte a hétszázat. Az energia- és villamos ipari cégek elleni komoly támadások száma kétszerese volt az átlagnak. (Az értékelésnél nem vették figyelembe a Nimda és a Red Code vírusok támadásait, mert ezek a rögzített események hatvanhárom százalékát tették ki, és sok szempontból téves eredményre vezettek volna.)
Az Oracle szerint az eredményeket átfogóan szemlélve a legfontosabb tanulság az, hogy a vállalatoknak nem elég pusztán nagyobb figyelmet fordítani biztonsági megoldásokra, hanem ezt alapos környezet- és önvizsgálat után, a mindenkori valós potenciális fenyegetettségnek megfelelően kell megtenni.
A hazai vállalatok informatikai rendszerei egyelőre kevésbé fejlettek, így az illegális behatolások lehetősége jóval korlátozottabb, mint az amerikai vagy európai vállaltoknál.
A GKI Gazdaságkutató Rt., a Webigen Rt. és a Sun Microsystems Magyarország nemrégiben közétettette a hazai internethasználati szokásokról készített felmérését, amelynek egyes részei a hazai vállalatok biztonsági megoldásainak fejlettségét is megvilágítják. A felmérés szerint a vírusellenőrzés a megkérdezett cégek hetven százalékánál rendszeres, tizenhat százalékuk működtet tűzfalprogramot, ami a honlappal rendelkezők alig több mint egyharmada. A titkosítás pedig csak a cégek tíz százalékánál rendszeresen alkalmazott biztonsági megoldás.
Az Oracle biztonságról alkotott véleménye szerint biztonságos rendszereket nem lehet csupán technikai megoldásokkal garantálni, hanem a megfelelő vállalati kultúra kialakítása is elengedhetetlen. A felmérés rámutat, hogy az internethez kapcsolódóan a hazai vállalkozásoknak egyelőre csak nyolc százaléka rendelkezik írott biztonsági szabályokkal, s a cégek negyede tervezi biztonsági szabályok lefektetését a közeljövőben.
Az Oracle szerint a kutatás eredménye megerősíti, hogy sok hazai vállalat informatikai fejlettsége egyelőre alacsony szintű, de a jövőben sokuknál várhatók olyan fejlesztések, amellyel az adatok biztonsága is központi kérdéssé válhat.

Az adatvédelem ismérvei
Tartva a nem megfelelő védelemtől, a hazai cégek egyelőre nem helyezik internetes alapra azokat az adatbázisokat és alkalmazásokat, amelyekhez hozzáférve valóban jelentős károkat okozhatnának számukra. A hazánkban ismertté vált betörések eddig elsősorban nem adatszerzés vagy anyagi károkozás céljából történtek, hanem figyelemfelkeltés, az informatikai ismeretek, azaz a betörési képesség fitogtatása vagy egy vállalat biztonsági rendszerének „lejáratása” érdekében.
Az internet alapú alkalmazások (és szolgáltatások) terjedésével — a versenyképesség növelése érdekében — egyre több vállalat fogja szolgáltatásain keresztül adatbázisát mások számára is elérhetővé tenni, így a következő években a biztonság kérdése egyre nagyobb hangsúlyt fog kapni hazánkban is. Természetesen vannak olyan intézmények, amelyeknél az adatvédelem hagyományosan nagy hangsúlyt kap már most is — ilyenek a kormányzati, a nemzetbiztonsági és katonai szervek, a pénzügyi szervezetek —, de ezeknél a védekezés elsősorban azon alapul, hogy rendszereik nem kapcsolódnak nyilvánosan elérhető hálózatokhoz.
Az illegális adatszerzési próbálkozások csak egy része valódi „külső” behatolási kísérlet. Az átfogó informatikai rendszerek terjedésével az alkalmazottak is egyre több információt tartalmazó rendszerrel állnak kapcsolatban, így a jogtalan hozzáférés veszélye belülről is fennáll. Ez egyrészt bizalmi kérdés, másrészt informatikai eszközökkel megoldható feladat. Hazánkban — az említett informatika fejlettségi szintje miatt — egyelőre sok esetben egyszerűbb az adatokat más módon — például a portáson átjutva nyomtatott anyagokhoz hozzáférve — megszerezni, de az informatikai rendszerek bővülésével hamarosan ebben is változás fog bekövetkezni.
Az Oracle szerint a külső és a belső behatolás között lényegében nincs különbség, ezért olyan megoldásokat dolgozott ki, amellyel a magas fokú adatvédelem attól függetlenül valósul meg, hogy külső vagy belső behatolótól kell a rendszert megvédeni. A megoldásban egy szigorú azonosítás történik a belépésnél, ezután a felhasználó szabadon férhet hozzá — kizárólag a jogosultságának megfelelő — adatokhoz.
A belső támadások kiküszöbölésének két legfontosabb eleme az adminisztráció centralizálása és a belső címtárak létrehozása. A centralizálással a több rendszergazda eltérő helyzetértékeléséből fakadó veszélyek szűrhetők ki, a címtárak segítségével pedig az összes felhasználó adathozzáférési jogosultsága egyértelműen meghatározható.
Az SSL azonosítási, titkosítási és integritási technológia két fél (kliens—adatbázis, alkalmazásszerver—adatbázis, kliens—alkalmazásszerver) közti biztonságos adatforgalmat tesz lehetővé egy privát és egy publikus kulcs alkalmazásával. Üzenet küldése esetén a küldő a privát kulccsal „aláírja” az üzenetét, melyet csak hozzá tartozó publikus kulccsal lehet kinyitni. Ezzel az eljárással az üzenet címzettje is egyértelműen azonosíthatja a küldő kilétét, a küldő pedig biztos lehet benne, hogy csak a címzett „olvassa el” az üzenetet. Maga az üzenet is kódolt, így illetéktelen személy nem férhet hozzá. Ha a két fél kicseréli egymással a publikus kulcsokat, akkor a köztük levő csatornán biztonságosan kommunikálhatnak egymással.
A kulcsok használatához szükséges tanúsítványokat vagy a cégek saját maguk (dolgozóik, beszállítóik számára), vagy egy megbízható harmadik fél bocsátja ki (aki felelősséget vállal a kommunikáló felek „jogi” létezéséért).
Az SSL internetszabvány, így klienstől függetlenül alkalmazható, költségkímélő megoldás. Alkalmazása más biztonsági rendszereknél is lehetséges, beépíthető mobil eszközökbe vagy bármely más, azonosítást igénylő megoldásba.
Az Oracle Label Security biztonsági ellenőrzései az adatbázis szintjén érvényesülnek, így még az alkalmazás megkerülése esetén is garantált a biztonság. A biztonsági jelölések a hozzáférés-szabályozás olyan új dimenzióját kínálják, amely a hagyományos adatbázis-funkciókkal csak nehezen kivitelezhető. Az Oracle Label Security emellett egy professzionális szabálykezelő eszközt is nyújt a biztonsági direktívák, biztonsági jelölések és felhasználói jelöléshez kötődő engedélyek kezelésére. Az Oracle Label Security finoman szabályozható hozzáférést megvalósító, azonnal használatba vehető megoldás.
Az ASP-k elterjedése több oldalról érinti a biztonsági megoldások kérdését. Ebben az üzemeltetési formában az adatokat fizikailag külső cégnél tárolhatják, ami fokozott bizalmat követel az ügyféltől, és fokozott biztonságot a szolgáltató részéről.
Hogy az ügyfelek mégse legyenek teljesen kiszolgáltatva az ASP-knek, az Oracle oszloptitkosítási funkciója lehetővé teszi az érzékeny adatokat tartalmazó táblaoszlopok 3DES algoritmussal való kódolását.
Az ASP modellben a vállalat kihelyezi adatait egy külső szolgáltatóhoz, de ezzel együtt a felelősséget is „kihelyezi”, mert szerződésekben határozzák meg az ASP felelősségét és kártérítési kötelezettségét is illegális behatolás esetén.
Az ASP modellben az adatok védelmére egyrészt a Virtual Private Database jelent biztonságos és költségkímélő megoldást, másrészt a központosításnak köszönhetően a szerverek védelme és az azonosítási eljárások is egy helyen történnek.
Az ASP-k elterjedése — az alacsony költségeknek köszönhetően — a következő években várhatóan jelentősen felgyorsul, velük együtt az említett megoldások egyre több cég számára jelenthetik a fokozott biztonságot.

Finoman szabályozható audit
Az Oracle integrált, rugalmas és megbízható auditálási lehetőségeket kínál, amelyek biztosítják, hogy a fontos adatbázis-műveleteket a granularitás megfelelő szintjén feljegyezzék. A jól lebontható auditálási funkciók részeként a vállalatok auditálási szabályokat definiálhatnak, amelyek meghatározhatják, hogy milyen adatelérések váltsanak ki auditálási eseményt. Az auditálási esemény feltételeinek bekövetkeztéről az adminisztrátor az eseménykezelő révén értesül. A vállalat például engedélyezheti a humánpolitikai részleg munkatársainak, hogy elérjék az alkalmazottak fizetési adatait, de naplózza egy meghatározott összeg feletti éves fizetések elérését.

Biztonsági megoldások trendje
A biztonsági kérdések megoldására több szempontból a centralizáció ad választ. Az azonosítási eljárások központosításával a figyelem egy pontra irányul, az azonosítás minden esetben azonos körülmények között zajlik, így elkerülhetők a több ponton való ellenőrzéssel járó eltérések miatti hibák. A védekezésre fordított energiák és költségek is egy helyre, egy ellenőrzési pontra összpontosíthatók, ami szintén a biztonság növekedését eredményezi.
A centralizálás jelentheti egy vállalati egységen belüli vagy több telephellyel rendelkező vállalatok telephelyei közti biztonsági rendszerének központosítását. A külső szolgáltatóhoz kihelyezett adatbázisok is ezt a folyamatot erősítik, hiszen e cégeknél is egy szerver védelmére van szükség a számos különálló eszköz helyett.
A kommunikációs eszközök fejlődésével az adatbázisok — közvetve vagy közvetlenül — egyre több módon érhetők el. Az adatbázisokat a hozzáférés módjától független védelemmel kell ellátni, így ez a folyamat szintén a belső biztonsági gyűrűk erősödését eredményezik.
A hazai vállalatok már megteremtették az alapvető informatikai rendszereiket, így a beruházások egyre nagyobb része olyan fejlesztésekre irányul, amelyben a biztonság fokozott szerepet kap.
Az informatikai megoldások kiválasztásánál az egyik legfontosabb elem a bizalom, ez különösen igaz a biztonsághoz kapcsolódó fejlesztésekkel kapcsolatban. Az Oracle szerint a fejlődéshez legjobban az járulhat hozzá, ha a vállalatvezetők körében elfogadottá válik az a nézet, miszerint az informatikai megoldásokhoz rendelkezésre állnak olyan rendszerek, amelyekkel adataik nagy biztonsággal megvédhetőek.

Ne maradjon le a Magyar Nemzet legjobb írásairól, olvassa őket minden nap!

Google News
A legfrissebb hírekért kövess minket az Magyar Nemzet Google News oldalán is!

Portfóliónk minőségi tartalmat jelent minden olvasó számára. Egyedülálló elérést, országos lefedettséget és változatos megjelenési lehetőséget biztosít. Folyamatosan keressük az új irányokat és fejlődési lehetőségeket. Ez jövőnk záloga.